Dans un contexte de digitalisation massive doublée d’une décentralisation des systèmes d’information, les cartes de la cybersécurité sont rebattues. Les architectures SASE, fondées sur une approche Zero Trust se répandent de plus en plus et mènent la vie dure aux concentrateurs VPN, jugés obsolètes par les uns et incontournables par les autres.
évolution rapide de la technologie a transformé nos organisations avec des entreprises optant de plus en plus pour des modèles de travail à distance et des services Cloud. Une évolution qui entraîne avec elle l’émergence de nouveaux défis en matière de cybersécurité liés, entre autres, à la confidentialité des données et la protection des réseaux d’entreprise. C’est justement dans ce contexte que le concept de “Zéro Trust” (Confiance zéro) est apparu avec une remise en question des modèles traditionnels de confiance implicite et suscitant des interrogations quant à l’avenir du traditionnel VPN (Virtual Private Network ou réseau privé virtuel).
Une utilisation trop légère du VPN
Le VPN se voit aujourd’hui souvent reprocher une utilisation un peu trop “légère”, supposant de la fiabilité de toute personne connectée au concentrateur pour donner un accès distant ouvert aux collaborateurs ou aux utilisateurs externes, y compris les tiers/fournisseurs. « Ce qui est une grave négligence en matière de sécurité ! intervient Mathieu Jouzel, ingénieur solutions chez Beyondtrust. De plus, au cours des dernières années, nous avons vu des dizaines de vulnérabilités VPN exploitées. Ils sont devenus une cible : les pirates savent désormais que s’ils peuvent exploiter un VPN, dans de nombreux cas, ils n’ont plus à se soucier des contrôles de sécurité traditionnels tels que les parefeux, car ils ont désormais un accès complet au réseau de l’entreprise. »
Le VPN pour une politique utilisateur centralisée, consolidée et adaptée au modèle Zéro Trust
Mais pour Jean-Marie Groppo, country manager EMEA chez Check Point, il est difficile de parler de la mort du VPN car il fait, selon lui, partie inhérente de l’approche SASE / SSE. « Ce sont des tunnels VPN qui permettent de raccorder des utilisateurs, des agences et des datacenters à un backbone central afin de garantir la sécurité, le chiffrement et l’intégrité des échanges. En revanche, il est certain qu’il y a une évolution de l’accès distant avec le SASE / SSE, qui bascule d’un modèle qui connecte les utilisateurs à un concentrateur VPN On Prem à une approche centrale « as a Service » de ce concentrateur. » Dans un contexte où de plus en plus de sociétés ont un périmètre éclaté, avec des applications dans le Cloud et des utilisateurs à distance, l’approche est de plus en plus considérée par les clients de l’éditeur israélien car elle permet d’appliquer une politique utilisateur centralisée, consolidée et adaptée au modèle zéro trust.
L’importance de chiffrer les communications
Un discours qui rassure Arnaud Dufournet, CMO chez The Greenbow, qui s’étonne de ne plus voir les pure players du SASE parler de chiffrement des communications mais simplement de vérification des identités. « Toute la sécurité semble se porter sur l’identité de l’utilisateur et ses droits d’accès. Mais on oublie que la communication peut aussi être détournée, écoutée et exploitée. Les data ont toujours besoin d’être protégées par du chiffrement robuste. Quand on cherche un peu on découvre qu’effectivement, derrière, il y a quand même un peu de VPN et de chiffrement qui existent. Mais chez les pure players, c’est du chiffrement SSL, ce qui n’est pas le plus robuste. Et c’est pour ça que nous disons que l’approche ZTNA ne doit pas faire oublier cette fonction primaire du VPN qui est de chiffrer les communications pour qu’elles restent confidentielles et intègres. »
Conflit ou complémentarité ?
Bien que le Zéro Trust puisse transformer la manière dont nous concevons la sécurité des réseaux, il ne signifie pas nécessairement la fin du VPN. Les deux approches peuvent coexister pour offrir un niveau de sécurité plus élevé et une flexibilité accrue aux entreprises modernes. En fin de compte, la combinaison du Zéro Trust et du VPN peut même renforcer la sécurité des réseaux et répondre aux besoins changeants de l’environnement de travail numérique actuel. Le VPN peut être utilisé en conjonction avec le Zéro Trust pour fournir un accès sécurisé aux ressources internes tout en appliquant les principes du Zéro Trust pour renforcer la sécurité. Par exemple, plutôt que de donner un accès global au réseau via le VPN, le Zéro Trust peut être utilisé pour autoriser l’accès à des applications spécifiques en fonction de l’authentification et du besoin de l’utilisateur. Cela réduit la surface d’attaque tout en maintenant la sécurité. « Ne les opposons pas, marions-les ! », dit Arnaud Dufournet, The Greenbow.
Mario Massard, Systems Engineer EMEA chez Illumio
« Le VPN est un concept de réseau et non de sécurité »
« La sécurité associée au VPN vise principalement à sécuriser les données en transit, plutôt qu’à restreindre l’accès à un réseau – en fait, l’objectif est d’accorder un accès “direct” au réseau après une authentification/autorisation de base. La confiance zéro est un paradigme de sécurité, axé sur la possibilité d’un accès moins privilégié entre les ressources, dans lequel le niveau d’accès est régi sur la base du contexte actuel des deux ressources. L’application des principes de la confiance zéro à la manière dont l’accès est accordé par le biais d’un VPN améliore considérablement la sécurité d’accès de la connectivité qui a été établie. Le ZT ne tue pas les VPN, il sécurise les réseaux privés virtuels. Se demander si le Zero Trust peut avoir raison du VPN impliquerait que le VPN est synonyme d’accès à distance (de l’utilisateur à l’application), alors qu’il ne s’agit que d’une utilisation parmi d’autres des VPN.»
Florent Embarek, vice-président SEMEA, Versa Networks
« Les solutions ZTNA remplacent déjà les passerelles VPN SSL »
« Les solutions ZTNA remplacent déjà les passerelles VPN SSL, et vont continuer de plus en plus dans les 12 à 24 mois qui viennent, car trop exposées aux cyber risques. Cela comme le démontrent encore les différentes publications de ces dernières semaines. De plus, le ZTNA est bien plus pratique et agile pour la partie M&A qui permet de réduire les périodes d’intégration ou encore de faciliter la gestion des accès (3rd Party Access) des fournisseurs, clients ou sous-traitants souvent également trop exposés via des solutions VPN SSL. Pour conclure, la partie DevOps via les VPC (Virtual Private Cloud) est plus sécurisée via une solution ZTNA.»